dvSwitchを使用して、異なるESXiホスト間でvSRX仮想ファイアウォールシャーシクラスタノードを展開する
分散仮想スイッチ(dvSwitch)を使用して ESXi 6.0(またはそれ以降)のホストで vSRX仮想ファイアウォール シャーシ クラスタ ノードを展開する前に、vSphere Web Client から次の構成設定を行い、2 つのノード間で高可用性クラスタ制御リンクが正しく動作するようにしてください。
vSphere Web Client の dvSwitch スイッチ設定で、マルチキャスト フィルタリング モードの IGMP スヌーピングを無効にします。
vSphere Web Client の dvSwitch ポート グループ構成で、無作為検出モードを有効にします。
詳細については、 VMware vSphereのドキュメントを参照してください。
このシャーシ クラスタ方法では、dvSwitch のプライベート仮想 LAN(PVLAN)機能を使用して、異なる ESXi ホストに vSRX仮想ファイアウォール シャーシ クラスタ ノードを導入します。外部スイッチの設定を変更する必要はありません。
VMware vSphere Web Client では、dvSwitch の場合、プライマリ VLAN とセカンダリ VLAN の 2 つの PVLAN ID があります。セカンダリ VLAN ID タイプのメニューで [ コミュニティ ] を選択します。
vSRX仮想ファイアウォールの制御およびファブリックリンクに2つのセカンダリPVLAN IDを使用します。 図 1 および 図 2 を参照してください。
上記の構成は、Distributed Switch アップリンクが接続されている外部スイッチに配置する必要があります。外部スイッチのリンクがネイティブ VLAN をサポートしている場合は、Distributed Switch のポート グループ構成で VLAN を「なし」に設定できます。ネイティブ VLAN がリンクでサポートされていない場合、この設定では VLAN を有効にする必要があります。
また、分散スイッチで通常の VLAN を使用し、dvSwitch を使用して異なる ESXi ホストに vSRX仮想ファイアウォール シャーシ クラスタ ノードを展開することもできます。通常のVLANは、物理スイッチと同様に機能します。PVLANの代わりに通常のVLANを使用する場合は、シャーシ クラスタ リンクのIGMPスヌーピングを無効にします。
ただし、次の理由から、PVLAN の使用が推奨されます。
PVLAN は IGMP スヌーピングを課しません。
PVLAN は VLAN ID を保存できます。
複数のESXiホストにまたがるvSRX仮想ファイアウォール クラスタが物理スイッチを介して通信する場合は、次の場所にある他のレイヤー2パラメータを考慮する必要があります。 レイヤー2スイッチを介して接続されたSRXシャーシ クラスターのトラブルシューティング。